[Règlement DORA] - Renforcement de la sécurité 'financière' : Cela impacte aussi les prestataires

Le règlement de l'UE DORA (Digital Operational Resilience Act) est un cadre réglementaire qui vise à renforcer la sécurité et la résilience des entités financières face aux risques liés aux technologies de l'information et de la communication (TIC). Il s'applique à toutes les entités financières opérant dans l'UE, telles que les banques, les assurances, les fonds d'investissement, les plateformes de trading, etc. Il prévoit également un mécanisme de surveillance direct des prestataires de services TIC critiques, tels que les fournisseurs de cloud ou de données, qui sont essentiels pour le fonctionnement du secteur financier.

Le règlement DORA impose aux entités financières de respecter des exigences uniformes en matière de gestion des risques TIC, de test de résistance, d'incidentologie, de gouvernance et d'externalisation. Il leur demande également de signaler rapidement et de manière exhaustive les incidents majeurs liés aux TIC aux autorités de surveillance et aux acteurs du marché. Le règlement DORA crée ainsi un cadre harmonisé au niveau de l'UE pour assurer la résilience opérationnelle numérique du secteur financier et prévenir les cybermenaces.

Les prestataires de services TIC critiques sont ceux qui fournissent des services TIC indispensables au fonctionnement, à la continuité et à la sécurité des activités ou des services financiers. Ils sont soumis à une surveillance directe de la part des autorités européennes de surveillance (AES), qui peuvent leur imposer des exigences spécifiques en matière de sécurité, d'audit, d'accès aux informations ou de coopération. Les AES peuvent également leur infliger des sanctions administratives en cas de non-respect du règlement DORA.

Les risques liés aux TIC sont les menaces ou les perturbations qui peuvent affecter les réseaux, les systèmes, les données ou les services financiers en raison de l'utilisation des TIC. Ces risques peuvent avoir des conséquences graves sur la stabilité financière, la protection des consommateurs, la confidentialité des données ou la concurrence. Ils peuvent être d'origine interne (par exemple, une défaillance technique, une erreur humaine, une fraude) ou externe (par exemple, une cyberattaque, un événement naturel, une crise sanitaire).

(image issue du site https://www.riskinsight-wavestone.com/)

Le règlement DORA est entré en vigueur le 16 janvier 2023 et devra être pleinement appliqué par les entités financières et les prestataires de services TIC critiques d'ici janvier 2025.

Le règlement DORA est-il applicable en Nouvelle Calédonie ? La réponse n'est pas évidente, car la Nouvelle Calédonie dispose d'un statut particulier au sein de la République française et de l'UE. Elle bénéficie d'une large autonomie dans certains domaines, dont celui des affaires monétaires et financières. Elle dispose notamment de sa propre monnaie, le franc pacifique (XPF), qui est lié à l'euro par un accord monétaire avec la France. Elle a également ses propres autorités financières, comme l'Institut d'émission d'outre-mer (IEOM) ou la Commission bancaire du Pacifique (CBP).

À ce jour, le Conseil n'a pas pris de décision (à ma connaissance) concernant l'applicabilité du règlement DORA en Nouvelle Calédonie. Il est donc possible que le règlement DORA s'applique par défaut dans ce territoire, mais il faudrait attendre une confirmation officielle des autorités compétentes. Il est également possible que le règlement DORA soit adapté ou complété par des dispositions spécifiques pour tenir compte des particularités du secteur financier néo-calédonien.

Toutefois, toutes entreprises Calédonienne intervenant pour le compte d'une entreprise européennes, sera contrainte à son respect. Si vous avez un doute, n'hésitez pas à contacter ACTECIL en local qui saura avoir une réponse à jour de votre interrogation.

Sources :

-  La réglementation DORA sur la résilience opérationnelle numérique du secteur financier - PwC

-  Finance numérique: le Conseil adopte le règlement sur la résilience opérationnelle numérique du secteur financier - Consilium

-  Réglementation sur la résilience opérationnelle (DORA) - KPMG

-  Finance numérique: accord provisoire concernant le règlement sur la résilience opérationnelle numérique du secteur financier - Consilium